Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Túneles de pila dual a través de una interfaz externa

Los túneles de pila dual (túneles IPv4 e IPv6 paralelos a través de una sola interfaz física a un par) se admiten para VPN de sitio a sitio basadas en rutas. Una interfaz física configurada con direcciones IPv4 e IPv6 se puede usar como una interfaz externa para puertas de enlace IPv4 e IPv6 en el mismo par o en diferentes pares al mismo tiempo.

Descripción de los modos de túnel VPN

En el modo de túnel VPN, IPsec encapsula el datagrama IP original,incluido el encabezado IP original, dentro de un segundo datagrama IP. El encabezado IP externo contiene la dirección IP de la puerta de enlace, mientras que el encabezado interno contiene las direcciones IP de origen y destino definitivas. Los encabezados IP externos e internos pueden tener un campo de protocolo de IPv4 o IPv6. Los dispositivos de la serie SRX admiten cuatro modos de túnel para VPN de sitio a sitio basadas en rutas.

Los túneles IPv4 en IPv4 encapsulan paquetes IPv4 dentro de paquetes IPv4, como se muestra en Figura 1. Los campos de protocolo para los encabezados externo e interno son IPv4.

Figura 1: Túnel IPv4 en IPv4Túnel IPv4 en IPv4

Los túneles IPv6 en IPv6 encapsulan paquetes IPv6 dentro de paquetes IPv6, como se muestra en Figura 2. Los campos de protocolo para los encabezados externos e internos son IPv6.

Figura 2: Túnel IPv6 en IPv6Túnel IPv6 en IPv6

Los túneles IPv6 en IPv4 encapsulan paquetes IPv6 dentro de paquetes IPv4, como se muestra en Figura 3. El campo de protocolo para el encabezado externo es IPv4 y el campo de protocolo para el encabezado interno es IPv6.

Figura 3: Túnel IPv6 en IPv4Túnel IPv6 en IPv4

Los túneles IPv4 en IPv6 encapsulan paquetes IPv4 dentro de paquetes IPv6, como se muestra en Figura 4. El campo de protocolo para el encabezado externo es IPv6 y el campo de protocolo para el encabezado interno es IPv4.

Figura 4: Túnel IPv4 en IPv6Túnel IPv4 en IPv6

Un solo túnel VPN IPsec puede transportar tráfico IPv4 e IPv6. Por ejemplo, un túnel IPv4 puede funcionar en los modos de túnel IPv4-in-IPv4 e IPv6-in-IPv4 al mismo tiempo. Para permitir tráfico IPv4 e IPv6 a través de un único túnel VPN IPsec, la interfaz st0 enlazada a ese túnel debe configurarse con ambos family inet y family inet6.

Una interfaz física configurada con direcciones IPv4 e IPv6 se puede usar como interfaz externa para túneles IPv4 e IPv6 paralelos a un par en una VPN de sitio a sitio basada en rutas. Esta característica se conoce como túneles de pila dual y requiere interfaces st0 independientes para cada túnel.

Para VPN basadas en políticas, IPv6 en IPv6 es el único modo de túnel compatible y solo se admite en dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550HM.

Descripción de túneles de doble pila a través de una interfaz externa

Los túneles de pila dual (túneles IPv4 e IPv6 paralelos a través de una sola interfaz física a un par) se admiten para VPN de sitio a sitio basadas en rutas. Una interfaz física configurada con direcciones IPv4 e IPv6 se puede usar como interfaz externa para puertas de enlace IPv4 e IPv6 en el mismo par o en diferentes pares al mismo tiempo. En Figura 5, las interfaces físicas reth0.0 y ge-0/0/0.1 admiten túneles IPv4 e IPv6 paralelos entre dos dispositivos.

Figura 5: Túneles de doble pilaTúneles de doble pila

En Figura 5, se deben configurar interfaces de túnel seguro (st0) independientes para cada túnel VPN IPsec. No se admiten túneles IPv4 e IPv6 paralelos enlazados a la misma interfaz st0.

Un solo túnel VPN IPsec puede transportar tráfico IPv4 e IPv6. Por ejemplo, un túnel IPv4 puede funcionar en los modos de túnel IPv4-in-IPv4 e IPv6-in-IPv4 al mismo tiempo. Para permitir tráfico IPv4 e IPv6 a través de un único túnel VPN IPsec, la interfaz st0 enlazada a ese túnel debe configurarse con ambos family inet y family inet6.

Si se configuran varias direcciones de la misma familia de direcciones en la misma interfaz externa a un par VPN, recomendamos que configure local-address en el nivel de jerarquía [edit security ike gateway gateway-name].

Si local-address está configurado, se usa la dirección IPv4 o IPv6 especificada como dirección de puerta de enlace local. Si solo se configura una dirección IPv4 y una IPv6 en una interfaz externa física, local-address no es necesaria la configuración.

El local-address valor debe ser una dirección IP configurada en una interfaz en el dispositivo de la serie SRX. Recomendamos que local-address pertenezcan a la interfaz externa de la puerta de enlace IKE. Si local-address no pertenece a la interfaz externa de la puerta de enlace IKE, la interfaz debe estar en la misma zona que la interfaz externa de la puerta de enlace IKE y debe configurarse una política de seguridad dentro de la zona para permitir el tráfico.

El local-address valor y la dirección de puerta de enlace IKE remota deben estar en la misma familia de direcciones, ya sea IPv4 o IPv6.

Si local-address no está configurada, la dirección de puerta de enlace local se basa en la dirección de puerta de enlace remota. Si la dirección de puerta de enlace remota es una dirección IPv4, la dirección de puerta de enlace local es la dirección IPv4 principal de la interfaz física externa. Si la dirección de puerta de enlace remota es una dirección IPv6, la dirección de puerta de enlace local es la dirección IPv6 principal de la interfaz física externa.

Ejemplo: Configuración de túneles de pila doble a través de una interfaz externa

En este ejemplo, se muestra cómo configurar túneles IPv4 e IPv6 paralelos a través de una sola interfaz física externa a un par para VPN de sitio a sitio basadas en rutas.

Requisitos

Antes de comenzar, lea Descripción de los modos de túnel VPN.

La configuración mostrada en este ejemplo solo se admite con VPN de sitio a sitio basadas en rutas.

Descripción general

En este ejemplo, una interfaz Ethernet redundante en el dispositivo local admite túneles IPv4 e IPv6 paralelos a un dispositivo par:

  • El túnel IPv4 lleva tráfico IPv6; funciona en modo de túnel IPv6 en IPv4. La interfaz de túnel seguro st0.0 enlazada al túnel IPv4 está configurada solo con la familia inet6.

  • El túnel IPv6 lleva tráfico IPv4 e IPv6; funciona en los modos de túnel IPv4 en IPv6 e IPv6-in-IPv6. La interfaz de túnel seguro st0.1 enlazada al túnel IPv6 está configurada con inet de familia e inet6 de familia.

Tabla 1 muestra las opciones de fase 1 utilizadas en este ejemplo. La configuración de la opción de fase 1 incluye dos configuraciones de puerta de enlace IKE, una al par IPv6 y la otra al par IPv4.

Tabla 1: Opciones de fase 1 para configuración de túnel de doble pila

Opción

valor

Propuesta de ICR

ike_proposal

Método de autenticación

Claves previamente compartidas

Algoritmo de autenticación

MD5

Algoritmo de cifrado

CBC de 3DES

Vida

3600 segundos

Política de ICR

ike_policy

Modo

Agresivo

Propuesta de ICR

ike_proposal

Clave previamente compartida

Texto ASCII

Puerta de enlace IKE IPv6

ike_gw_v6

Política de ICR

ike_policy

Dirección de puerta de enlace

2000::2

Interfaz externa

reth1.0

Versión de IKE

IKEv2

Puerta de enlace IKE IPv4

ike_gw_v4

Política de ICR

ike_policy

Dirección de puerta de enlace

20.0.0.2

Interfaz externa

reth1.0

Tabla 2 muestra las opciones de fase 2 utilizadas en este ejemplo. La configuración de la opción fase 2 incluye dos configuraciones VPN, una para el túnel IPv6 y la otra para el túnel IPv4.

Tabla 2: Opciones de fase 2 para la configuración de túnel de doble pila

Opción

valor

Propuesta de IPsec

ipsec_proposal

Protocolo

ESP

Algoritmo de autenticación

HMAC SHA-1 96

Algoritmo de cifrado

CBC de 3DES

Política IPsec

ipsec_policy

Propuesta

ipsec_proposal

IPv6 VPN

test_s2s_v6

Interfaz de enlace

st0.1

Puerta de enlace IKE

ike_gw_v6

Política IPsec de ICR

ipsec_policy

Establecer túneles

Inmediatamente

IPv4 VPN

test_s2s_v4

Interfaz de enlace

st0.0

Puerta de enlace IKE

ike_gw_4

Política IPsec de ICR

ipsec_policy

Las siguientes rutas estáticas se configuran en la tabla de enrutamiento IPv6:

  • Enrutar el tráfico IPv6 a 3000::1/128 a st0.0.

  • Enrutar el tráfico IPv6 a 3000::2/128 a st0.1.

Una ruta estática se configura en la tabla de enrutamiento predeterminada (IPv4) para enrutar el tráfico IPv4 al 30.0.0.0/24 a st0.1.

El procesamiento basado en flujo del tráfico IPv6 se debe habilitar con la mode flow-based opción de configuración en el nivel de jerarquía [edit security forwarding-options family inet6].

Topología

En Figura 6, el dispositivo serie SRX A admite túneles IPv4 e IPv6 al dispositivo B. El tráfico IPv6 a 3000::1/128 se enruta a través del túnel IPv4, mientras que el tráfico IPv6 a 3000::2/128 e IPv4 a 30.0.0.0/24 se enruta a través del túnel IPv6.

Figura 6: Ejemplo de túnel de pila dobleEjemplo de túnel de pila doble

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.

Para configurar túneles de pila doble:

  1. Configure la interfaz externa.

  2. Configure las interfaces de túnel seguras.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configure rutas estáticas.

  6. Habilite el reenvío basado en flujo IPv6.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show security ike, show security ipsec, show routing-optionsy show security forwarding-options . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificar el estado de la fase 1 de ICR

Propósito

Verifique el estado de fase 1 de ICR.

Acción

Desde el modo operativo, ingrese el show security ike security-associations comando.

Significado

El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. Si no se enumera ninguna SA, hubo un problema con el establecimiento de fase 1. Compruebe los parámetros de política de IKE y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de fase 1 deben coincidir en los dispositivos par.

Verificar el estado de la fase 2 de IPsec

Propósito

Verifique el estado de fase 2 de IPsec.

Acción

Desde el modo operativo, ingrese el show security ipsec security-associations comando.

Significado

El show security ipsec security-associations comando enumera todas las SA de fase 2 de IKE activas. Si no se enumera ninguna SA, hubo un problema con el establecimiento de fase 2. Compruebe los parámetros de política de IKE y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de fase 2 deben coincidir en los dispositivos par.

Verificar rutas

Propósito

Verifique las rutas activas.

Acción

Desde el modo operativo, ingrese el show route comando.

Significado

El show route comando enumera las entradas activas en las tablas de enrutamiento.